Etape 7. Sécuriser le registre

à écrire un programme de démarrage voyou visant vos clés de registres auto-run ou dossiers de démarrage. Il y a une bonne vingtaine de clés de registres susceptibles d’endommager votre ordinateur si un programme mal intentionné parvient à y écrire du code. Pour connaître les clés de registres les plus exposées, exécutez l’utilitaire Autoruns de Sysinternals freeware. Ensuite, en utilisant les permissions NTFS (mais oui, les clés de registres ont des permissions), faites en sorte que les utilisateurs non-administrateurs puissent uniquement lire ces clés. Et veillez à sécuriser les hives HKEY_CURRENT_USER. HKEY_LOCAL_MACHINE n’est pas la seule ruche dangereuse.

Bloquer les associations de fichiers inutiles. Les pare-feu appliquent la règle du refus par défaut. Pourquoi nos postes de travail n’en feraient-ils pas de même ? En principe, tout fichier (et extension de fichier) qui atteint le poste de travail peut lancer son programme associé. C’est de cette manière que les vers e-mail VBS sont lancés et exécutés par Windows Script Host (WSH – wscript.exe), même si la plupart des administrateurs n’utilisent pas VBS pour gérer leur environnement (ou, s’ils le font, ils pourraient utiliser une autre extension de fichier).

Les utilisateurs finaux ordinaires devraient- ils pouvoir exécuter toute application Control Panel (.cpl), fichier batch (.bat ou .cmd) ou fichier scrap (.shs) qu’ils reçoivent dans leur courriel ? Ces fichiers sont-ils utiles dans votre entreprise ? Si la réponse est non, évincez-les par un verrouillage. Vous trouverez la plupart des associations de fichiers dans HKEY_CLASSES_ROOT ou HKEY_COMPUTER_ USER.

Dressez la liste des types de fichiers que vos utilisateurs finaux ne doivent pas pouvoir exécuter. Ensuite, utilisez les permissions NTFS de registre définis dans un GPO ou enlevez leurs permissions Read et Write (après avoir exécuté les changements dans un environnement de test). Vous vous féliciterez de cette action.